Le mois dernier, le nombre de fuites de données dans le domaine de la santé a considérablement augmenté, ce qui démontre clairement que les fournisseurs de soins de santé, les mutuelles et les partenaires commerciaux ont du mal à prévenir les fuites de données de santé.

La règle de sécurité de la Health Insurance Portability and Accountability Act (HIPAA) a été introduite pour s’assurer que les organisations de soins de santé mettent en œuvre une série de mesures de protection pour assurer la confidentialité, l’intégrité et la disponibilité des données sur les soins de santé.

Cela fait maintenant plus de dix ans que la Règle de sécurité a été introduite et les fuites de données continuent de se produire à une fréquence alarmante. En fait, il y a plus d’fuites de données que jamais auparavant.

Les fuites de données données en chiffres

Le rapport du Baromètre des atteintes à la sécurité des données de Protenus pour le mois de septembre, qui fait le suivi de toutes les fuites de données sur les soins de santé signalées, a révélé 46 atteintes à la protection des renseignements médicaux en septembre, ces atteintes ayant entraîné l’exposition de 499 144 informations sensibles de particuliers.

Les incidents de piratage informatique et de piratage informatique ont été cités comme étant la cause de 50% de ces infractions, les initiés ayant causé 32,6% des incidents. La perte et le vol d’appareils sont à l’origine de près de 11% des brèches du mois. Les rapports mensuels précédents en 2017 ont montré que les initiés sont souvent la principale cause des fuites de données dans le domaine de la santé.

La conformité à la HIPAA n’empêchera pas les fuites de données dans le domaine de la santé

La conformité à la HIPAA peut contribuer dans une certaine mesure à rendre les organisations de soins de santé plus résistantes aux cyberattaques, aux logiciels malveillants et aux infections par rançon, mais le simple respect des règles de sécurité de la HIPAA ne signifie pas nécessairement que les organisations seront insensibles aux attaques.

La conformité à la HIPAA vise à relever la barre en matière de cybersécurité et à garantir le maintien d’une norme minimale. Bien que de nombreuses organisations de soins de santé considèrent la conformité à la HIPAA comme un objectif pour obtenir une bonne posture de sécurité, la réalité est que ce n’est qu’une référence.

Pour prévenir les fuites de données, les organismes de soins de santé doivent aller au-delà des exigences de la HIPAA.

Détectez rapidement les fuites internes

La prévention des fuites de données des initiés peut s’avérer difficile pour les organismes de soins de santé. Les employés du secteur de la santé doivent avoir accès aux dossiers des patients afin de fournir des soins médicaux, et il y aura toujours un employé peu consciencieux qui fouine dans les dossiers des patients qu’il ne traitent pas, et des individus qui volent des données pour les vendre à des voleurs d’identité.

La HIPAA exige que les organisations de soins de santé tiennent des registres d’accès et vérifient régulièrement ces registres pour détecter tout signe d’accès non autorisé. Le terme « régulièrement » est sujet à interprétation. Un contrôle tous les six mois ou une fois par an pourrait être considéré comme régulier et conforme à la réglementation HIPAA.

Cependant, au cours de ces 6 ou 12 mois, les dossiers de milliers de patients ont pu être consultés. Les organisations de soins de santé devraient aller au-delà des exigences de la HIPAA et devraient idéalement mettre en œuvre un système qui surveille constamment l’accès non autorisé ou au moins effectuer des examens trimestriels du registre d’accès au minimum. Cela n’empêchera pas les fuites de données relatives aux soins de santé, mais réduira leur gravité.

Fermez la porte aux pirates informatiques

50% des fuites en septembre étaient dues à des actes de piratage et à des incidents informatiques.

Les pirates informatiques sont opportunistes et, bien qu’il y ait des attaques ciblées contre de grandes organisations de soins de santé, la plupart du temps, les pirates informatiques tirent profit de vulnérabilités de longue date qui n’ont pas été traitées. Afin de corriger ces vulnérabilités, elles doivent d’abord être identifiées, d’où la nécessité d’analyses de risque régulières, comme l’exige la règle de sécurité HIPAA. Une analyse des risques à l’échelle de l’organisation devrait avoir lieu au moins une fois par an pour rester conforme à la HIPAA, mais plus fréquemment pour s’assurer que les vulnérabilités ne sont pas apparues.

De plus, une vérification devrait être effectuée au moins une fois par mois pour s’assurer que tous les logiciels sont à jour et que tous les correctifs ont été appliqués. Il y a eu récemment de nombreux exemples d’instances de stockage dans le cloud qui n’ont pas été protégées et étaient accessibles par le public. Il existe des outils gratuits qui peuvent être utilisés pour vérifier, par exemple, la présence de seaux AWS exposés. Des scanners devraient être effectués régulièrement. Les cybercriminels feront de même.

Empêchez les divulgations de renseignements médicaux

L’une des principales causes des divulgations de renseignements médicaux personnels est la perte ou le vol d’ordinateurs portables, de clés USB et d’autres dispositifs mobiles. Bien que les employés puissent être formés pour prendre soin de leurs appareils, les voleurs saisiront toutes les occasions qui se présenteront si les appareils ne sont pas protégés.

La HIPAA n’exige pas l’utilisation du chiffrement, et d’autres mesures peuvent être utilisées pour sécuriser les dispositifs, mais les entités couvertes par la HIPAA et leurs partenaires commerciaux devraient utiliser le chiffrement sur les dispositifs portables pour s’assurer qu’en cas de perte ou de vol, les données ne peuvent être accessibles.

Si un appareil chiffré est volé ou perdu, il ne s’agit pas d’une violation de la HIPAA. L’utilisation du chiffrement sur les appareils mobiles est un bon moyen de prévenir les fuites de données médicales.

Les petits dispositifs de stockage portables tels que les clés USB sont pratiques, mais ils ne devraient jamais être utilisés pour transporter des renseignements médicaux – Ils sont beaucoup trop faciles à perdre ou à égarer. Utilisez des services de stockage en nuage conformes à la norme HIPAA, tels que Dropbox ou Google Drive, car ils sont plus sûrs.

Bloquez les attaques de malwares et de ransomwares

Les attaques de logiciels malveillants et de ransomwares sont des violations à signaler en vertu de la HIPAA et peuvent entraîner des violations majeures des données. Le courrier électronique est le principal vecteur de diffusion des logiciels malveillants ; il est donc essentiel de mettre en œuvre une solution efficace de filtrage des spams.

L’HIPAA exige qu’une formation soit dispensée régulièrement aux employés, mais une séance de formation annuelle ne suffit plus. Des séances de formation devraient avoir lieu au moins tous les six mois, avec des alertes de sécurité régulières sur les dernières menaces de phishing communiquées aux employés, au besoin. Idéalement, la formation devrait être un processus continu, comprenant des exercices de simulation d’hameçonnage.

Les logiciels malveillants et les ransomwares peuvent également être téléchargés lors d’attaques par drive-by lorsque vous naviguez sur Internet. Une solution de filtrage web devrait être utilisée pour empêcher les employés du secteur de la santé de visiter des sites malveillants, pour bloquer les sites web de phishing et pour empêcher le téléchargement de logiciels malveillants par drive-by.

Un filtre web n’est pas une exigence de la HIPAA, mais il s’agit d’une couche de sécurité supplémentaire importante qui peut prévenir les fuites de données médicales.